Hlavní navigace

Bezpečnost v uplynulém týdnu: chyby BlackICE PC Protection a Tor

 Autor: 29
Ondřej Bitto 6. 9. 2006

Během posledního týdne byly na poli bezpečnosti odhaleny zranitelnosti v ochranném softwaru BlackICE PC Protection, podobně také v síťovém systému Tor. Sekce představující bezpečnostní software dostupný zdarma je tentokráte věnována automatickému hodnocení licenčních smluv v aplikaci EULAlyzer.

Bezpečnostní aktuality

Laserové tiskárny Dell Color

Verze: viz původní oznámení
Riziko: střední riziko (střední)
Server Secunia publikoval již dříve avizovanou středně kritickou zranitelnost v ovládacím softwaru k některým laserovým tiskárnám Dell Color, seznam jednotlivých verzí postiženého firmwaru je k nalezení na odkazované původní stránce. Kámen úrazu spočívá v nekorektním zpracování některých FTP i HTTP požadavků, díky čemuž má úspěšný útočník možnost způsobit DoS nebo obejít některá výchozí bezpečnostní omezení. Doporučené řešení spočívá v instalaci oficiálních záplat uvolněných přímo výrobcem, případně deaktivaci všech nevyužívaných síťových služeb.
Další informace: Secunia.com

Tor

Verze: 0.1.x
Riziko: střední riziko (střední)
Na úkor systému Tor byla publikována chyba, které útočník může zneužít k přesměrování procházející komunikace. Zranitelnost se přitom týká vnitřních serverů pomyslné linie síťového toku, tedy nelze explicitně provést přesměrování na nový výstupní uzel. Kromě toho může potenciální útočník dosáhnout také DoSu, kdy „shodí“ proces pracující ve jménu Tor. Přehled postižených verzí se nachází na níže odkazované stránce s původním oznámením, podobně také adresy odpovídajících opravených variant.
Další informace: Seul.org

BlackICE PC Protection

Verze: 3.6
Riziko: vysoké riziko (vysoké)
Aplikace BlackICE PC Protection podle nově zveřejněné zprávy neodolá zranitelnosti, která může zapříčinit DoS, a to v podobě pádu zmiňovaného softwaru. Na vině je nekorektní zpracování argumentu předávaného funkci NtOpenSection, které završuje absolutní vytížení v rámci procesu a končí chybou v odpovídajícím souboru rapdrv.sys. Ačkoliv chyba byla přímo potvrzena pro BlackICE PC Protection 3.6, postiženy mohou být také některé starší varianty.
Další informace: Matousec.com

MyBB

Verze: 1.1.7
Riziko: nizke riziko (nízké)
V aplikaci MyBB byla objevena méně závažná zranitelnost, kterou lze zneužít pro vložení vlastního kódu a docílit jeho provedení. Chyba je přesněji způsobena nedostatečným ošetřením předávaného vstupu při uploadu uživatelského souboru. Ačkoliv daná zranitelnost byla potvrzena pro MyBB verze 1.1.7, postiženy mohou být také některé další varianty. Doporučené řešení spočívá v ruční kontrole vstupu přímo úpravou původního kódu.
Další informace: Secunia.com

Z aktuálních článků posledního týdne stojí za přečtení například následující přírůstky zahraničních serverů:

XML propels security intelligence (Networkworld­.org)
Článek na téma bezpečnosti XML.

Protect Your Windows Systems (It-observer.com)
Možnosti zabezpečení systému Windows.

Web Application Security – Buffer Overflows: Are You Really at Risk? (Infosecwriter­s.com)
Útok v podobě přetečení zásobníku.

Bezpečnostní software zdarma

EULAlyzer

Homepage: Javacoolsoftwa­re.com
Lupa hodnotí: 1749

Eulalyzer

S pomocí této jednoduché aplikace si uživatel může nechat automaticky „prostudovat“ licenční ujednání, která tvoří nedílnou součást instalace prakticky všech programů. EULAlyzer v textu vyhledá relativně zajímavé pasáže, tedy například ty, jež obsahují odkazy na webové stránky, informace o instalaci dalších doplňků apod. Na základě strojového vyhodnocení je obsahu přiřazen odpovídající stupeň potenciálního nebezpečí a případně uživateli doporučeno přečtení celého ujednání.

Anketa

Zkoušeli jste někdy anonymizér Tor?

Našli jste v článku chybu?
Lupa.cz: Avast, Jirká Král i DVTV, Kdo vyhrál Křišťálovou Lupu?

Avast, Jirká Král i DVTV, Kdo vyhrál Křišťálovou Lupu?

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: EET v e-shopech? Zdražení a horší komfort

EET v e-shopech? Zdražení a horší komfort

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET